web-dev-qa-db-ja.com

OS X 10.11およびiOS 10クライアント上のStrongswan IKEv2 VPN

Google、Serverfault、StrongSwan Webサイトで何日も検索した後、StrongSwan IPSec/IKEv2 VPNをOS X 10.11.5とiOS 10で動作させることに失敗しました。非常にうまくいきました。 Windows 10 Pro Insider PreviewとAndroid-で作業するには、どちらも、MacノートブックとiOS 10デバイスしか持たない私の旅行の手配には関係ありません。

私は2つのStrongSwan VPNサーバーをセットアップしています。1つはロンドンに、もう1つはサンフランシスコにあり、どちらもほぼ同じ構成です。

従ったこと https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html 両方のサーバーをすばやくセットアップし、Windows 10 Pro Insider PreviewとAndroidの単一のクライアント証明書を発行することができました。ただし、2つのサーバーのp12をOS XとiOSにコピーしてVPNを作成すると、他の2つのオペレーティングシステムでは何が得られないのかという質問が表示されます。

Remote ID」および「Local ID」とは何かに関する明確な回答を見つけたようですが、これは証明書ベースの認証済み接続の確立にどのように関係しますかSwanStrong VPNサーバーへ?

私が見つけることができなかったことから、次のことを学びました。

  • Local IDは、証明書で指定されているCNまたはSANと一致する必要があります(つまり、[email protected]
  • Remote IDはOS XとiOSの両方で必要ですが、この入力フィールドに何を入力するかわかりません
  • WindowsやAndroidは暗号化とシームレスに接続している)とは異なり、OS XとiOSはどちらも「接続中」でスタックするか、すぐに「切断中」に変わります

これは、StrongSwanサーバー構成の1つ(私がテストしてきたもの)です。

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

WindowsとAndroidで使用されているものと同じ証明書を使用して、OS X 10.11.5とiOS 10でVPNトンネルを正しくプロビジョニングするにはどうすればよいですか?

4
Olivia

結局のところ、_Apple Configurator_と_DH Group 2_を使用するように暗号化を設定できるように、VPNプロファイルを作成するには_3DES_を使用する必要がありました。

また、証明書の_Remote ID_に記載されているように、_Common Name_をVPNサーバーのFQDNに変更する必要がありました。 OS XはSubject Alternative Name (SAN)を無視しました。

ただし、VPNへの接続を確立できるようになりましたが、VPNを介してトラフィックをトラバースすることはできません。

その質問はこれとは無関係なので、私は別の質問を投稿しました: https://Apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os -x-10-11-5

3
Olivia